Next.js 2026년 5월 보안 릴리즈 — CVE 13건 패치
Next.js가 2026년 5월 보안 릴리즈를 통해 DoS, 미들웨어·프록시 우회, SSRF, 캐시 중독, XSS를 포함한 13개 보안 취약점을 한꺼번에 패치했다. Next.js 13.x부터 16.x까지와 react-server-dom 패키지 전 버전이 영향을 받으며, 완전한 완화는 패치 적용이 유일한 방법이다.
Next.js가 2026년 5월 보안 릴리즈를 통해 DoS, 미들웨어·프록시 우회, SSRF, 캐시 중독, XSS를 포함한 13개 보안 취약점을 한꺼번에 패치했다. Next.js 13.x부터 16.x까지와 react-server-dom 패키지 전 버전이 영향을 받으며, 완전한 완화는 패치 적용이 유일한 방법이다.
React Server Components의 Server Function 엔드포인트에서 DoS를 유발할 수 있는 고심각도 취약점이 CVE-2026-23864로 공개됐다. CVSS 7.5 수준으로 원격 코드 실행은 없지만 서버 충돌·OOM·과도한 CPU 사용을 일으킬 수 있으며 Next.js 13.x~16.x를 포함한 광범위한 React 에코시스템 프레임워크가 영향을 받는다.
2026년 1월 FE News는 RSC, 브라우저 AI, 디자인시스템 자동화처럼 프런트엔드와 AI가 겹치는 새 흐름을 빠르게 파악해야 하는 상황을 다룬다.
바비톡 글로벌 이벤트 상세 페이지의 초기 렌더링이 느리고 레이아웃 시프트로 UX 가 흔들린다.
React Server Components(RSC)에서 임의 코드 실행을 허용하는 CVE-2025-55182가 공개됐다. 심각도 10.0 만점의 이 취약점은 JavaScript의 `constructor` 프로퍼티를 React 렌더링 도중 코드 평가에 악용한다. Vercel은 WAF 방어 레이어를 배포해 공개 후 수 주 만에 600만 건 이상의 공격 시도를 차단했고, 독립적인 100만 달러 바운티 프로그램으로 20개의 고유 우회 기법을 발굴해 즉시 패치했다.
React 19 의 Server Components 구현에서 두 가지 보안 취약점이 발견되었다. App Router 엔드포인트를 노린 악의적 HTTP 요청으로 서버를 멈추거나(CVE-2025-55184, DoS), 서버 액션의 컴파일된 소스 코드를 추출(CVE-2025-55183, 소스 노출)할 수 있다. React 19.2.2 이상, Next.js 14.2.35/15.0.7/15.1.11 이상으로 즉시 업그레이드가 필요하다.
React Server Components 의 Critical 취약점 CVE-2025-55182 의 기술 세부사항을 정리한 글이다. React 19 의 Server DOM 패키지들이 untrusted input 을 처리하는 방식의 결함으로 RCE 가 발생하며, Next.js 외에도 Vite, Parcel, React Router, RedwoodSDK, Waku 등 RSC 를 사용하는 광범위한 프레임워크가 영향을 받는다.
Next.js App Router 15.3.0~15.3.2 및 Vercel CLI 41.4.1~42.2.0에서 미들웨어가 리라이트/리다이렉트를 수행할 때 캐시 버스팅 파라미터가 제거되면서 RSC 페이로드와 HTML 응답이 동일 캐시 키를 공유하는 캐시 포이즈닝 취약점이 발견됐다. Vercel 호스팅은 브라우저 캐시 수준에 그치지만 self-hosted + 외부 CDN 환경에서는 CDN 포이즈닝으로 확대될 수 있다.
Next.js App Router 로 마이그레이션할 이유와 RSC 와 전통 SSR 의 차이를 헷갈리는 팀이 많고, 데이터 페칭 패턴별 UX·성능 트레이드오프가 정리돼 있지 않다.
Grep(100만 개 GitHub 레포지토리 인덱싱 코드 검색 엔진)이 deprecated 된 Create React App(CRA)에서 Next.js 로 마이그레이션한 과정을 상세히 다룬다. 즉각적인 검색 반응성을 유지하면서 SSR 이점을 취하는 것이 핵심 과제였다.
코틀린 코루틴에서 특정 코루틴의 예외가 부모-자식 관계를 따라 전파돼 전체 시스템 불안정.
MERJ와 Vercel의 공동 연구팀이 100,000건 이상의 Googlebot 크롤 데이터를 분석해 JavaScript SEO에 대한 4가지 주요 오해를 실증적으로 검증했다. 현대 Googlebot이 React Server Components·스트리밍·CSR을 포함한 모든 HTML 페이지를 완전히 렌더링함을 실측 데이터로 확인했다.
Vercel AI SDK 3.1이 ModelFusion을 통합하고 SDK를 세 계층(Core, UI, RSC)으로 구조화했다. LLM 프로바이더를 단일 API로 추상화하고, 50줄 미만 코드로 스트리밍 챗봇을 구현할 수 있는 TypeScript AI 애플리케이션 프레임워크를 지향한다.
네트워크, 기기, 인간 인지 한계를 포괄하는 지연 시간 기준 수치를 프론트엔드 관점에서 정리한 참조 가이드다. 숫자를 외우는 것이 목적이 아니라, 아키텍처 결정을 내릴 때 직관적인 척도로 활용하기 위한 자료다.
Vercel AI SDK 3.0이 Generative UI를 도입해 LLM 응답을 텍스트가 아닌 React Server Components로 직접 스트리밍할 수 있게 됐다. 모델이 함수 호출(Function Calling)로 어떤 컴포넌트를 렌더링할지 결정하면, 서버에서 해당 컴포넌트를 스트리밍해 클라이언트에 직접 전달하는 구조다.
React Server Components(RSC)는 React를 순수 렌더링 라이브러리에서 서버-클라이언트 통신과 데이터 패칭을 프레임워크 수준에서 통합하는 방향으로 발전시킨다. SSR과 Suspense가 해결하지 못한 번들 사이즈 증가, 클라이언트 과부하, waterfall 데이터 패칭 문제를 서버에서 렌더링을 완결하는 방식으로 해결한다. Next.js 13.4 App Router에서 기본값으로 채택된 RSC의 동작 원리, 한계, 올바른 활용 패턴을 다룬다.
React 18이 도입한 동시 렌더링이 웹 성능 지표(Total Blocking Time, INP)를 개선하는 원리를 다룬다. 기존 동기식 렌더링은 모두-아니면-무(all-or-nothing) 방식으로 메인 스레드를 차단했는데, React 18은 렌더링을 5ms 단위로 쪼개 더 긴급한 작업을 먼저 처리할 수 있게 했다.
React Wrap Balancer는 웹 제목과 헤딩에서 불균형한 줄 나눔을 방지하는 1kB 미만의 경량 React 라이브러리다. 이진 탐색(binary search) 알고리즘으로 래퍼 너비를 "추가 줄 나눔이 생기기 직전의 최솟값"까지 줄여 텍스트를 균형 있게 배치하며, 4K 디스플레이(3840px)에서도 12번 반복이면 충분하다. 클라이언트 렌더링에선 useLayoutEffect로, SSR에선 인라인 스크립트로 레이아웃 시프트(CLS)를 방지한다.
기존 클라이언트 컴포넌트의 부모-자식 연쇄 데이터 페칭이 네트워크 waterfall 을 만들어 초기 로딩 성능을 떨어뜨린다.
React Server Components(RSC)는 서버와 클라이언트의 장점을 결합한 컴포넌트 모델이다. 클라이언트로 전송되는 JavaScript 번들을 줄이고 점진적 데이터 페칭을 가능하게 해, 기존 SSR의 "클라이언트가 여전히 컴포넌트를 다운로드해야 한다"는 한계를 넘어선다.